Nowy groźny malware już na tysiącach komputerów. Sprawdź, czy nie jesteś ofiarą

Tysiące komputerów z systemem Windows na całym świecie zostało zainfekowanych nowym rodzajem wirusa, który sam pobiera z sieci i instaluje oprogramowanie niezbędne do finansowych oszustw.

Nowy groźny malware już na tysiącach komputerów. Sprawdź, czy nie jesteś ofiarą
Nowy groźny malware już na tysiącach komputerów. Sprawdź, czy nie jesteś ofiarąGeekweek

Nodersok albo Divergent, jak nazywają ten malware odpowiednio Microsoft i Cisco Talos, został po raz pierwszy zauważony latem tego roku, dystrybuowany przez złośliwe reklamy, które wymuszały pobieranie plików HTA (aplikacja HTML) na komputerach. Użytkownicy, którzy uruchomili te pliki, zainicjowali wieloetapowy proces infekowania oprogramowania, obejmujący skrypty Excela, JavaScript i PowerShell, które następnie pobierały i instalowały właśnie Nodersok/Divergent.

Malware ten jest całkiem złożony i składa się z kilku komponentów, pełniących różne role. I tak, moduł PowerShell próbuje wyłączyć Windows Defender i Windows Update, a mamy też taki odpowiadający za uzyskanie pozwoleń na dostęp systemowy. Jego częścią są też dwie legalne aplikacje, tj. WinDivert i Node.js, pierwsza służy do interakcji z pakietami telekomunikacyjnymi, a druga jest popularnym narzędziem deweloperskim JavaScript. To właśnie od nich zaczyna się infekcja komputera, ale Microsoft i Cisco mają odmienne zdanie na temat tego, co dzieje się później.

Zdaniem giganta z Redmond malware zmienia zainfekowany komputer w serwer proxy do przekierowywania podejrzanego ruchu, podczas gdy Cisco uważa, że jest on wykorzystywany do oszustw typu click-fraud. Tak czy inaczej, po zainfekowaniu komputera nie czeka nas nic dobrego, bo jak zawsze w przypadku malware opartych o architekturę klient-serwer, jego autorzy mogą w dowolnym momencie wykorzystać swoje dojście do przeprowadzenia dodatkowych zadań, jak choćby dołożenie nam kolejnego złośliwe oprogramowania, np. stwarzającego zagrożenie podczas bankowości online.

Skoro Microsoft odkrył malware, to Windows Defender na naszych PC z Windowsem powinien być w stanie je zauważyć, ale koncern i tak zaleca dużą ostrożność - nie należy uruchamiać żadnych plików HTA znalezionych na komputerze, szczególnie jeśli nie znamy ich pochodzenia, a najlepiej w ogóle żadnych, które nagle pojawiły się na naszych urządzeniach. Trzeba jednak pamiętać, że z wyliczeń obu firm wynika, że Nodersok w ostatnich tygodniach zainfekował już tysiące sprzętów, głównie w Stanach Zjednoczonych i Europie. Czy zatem jesteśmy tak nieostrożni? Tak, ale trzeba pamiętać, że malware opiera się na dwóch legalnych aplikacjach,   więc czasem dużo trudniej zorientować się, że coś jest nie tak.

Źródło: GeekWeek.pl/zdnet

Geekweek
Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas